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(54) Title: ELECTRONIC DATA PROCESSING CIRCUIT 

(54) Bezeichnung: ELEKTRON IS CHE DATENVERARBEITUNGSSCHALTUNG 
(57) Abstract 

The invention concerns an electronic data processing circuit having an 
operating module (1, 101), such as for example a microprocessor, with at 
least one data memory (2, 3, 4, 5, 102, 103, 104, 105) and with a data bus 
<106) extending between a data memory (2, 3, 4, 5, 102, 103, 104, 105) and 
the operating module (1, 101). With electronic data processing circuits of 
the type in question the memory frequently contains information to which 
access should be limited as far as possible. Therefore it is necessary to 
take security measures to guard against man ipulatipn of t^e electronic data 
processing circuit. Consequently the object of the invention is to produce 
an electronic data processing circuit of the type in question which affords 
better protection against undesired alterations. According to the invention, 
this object is achieved by an electronic data processing circuit of the type 
in question in which at least one coding module (20, 21, 22, 35, 107) is 
provided in the region between the data memory (2, 3, 4, 5, 102, 103, 104, 
105) and the data bus and/or in the region between the operating module (1, 
101) and the data bus. The coding module (20, 21, 22, 35, 107) is designed 
such that data traffic between the operating module (1, 101) and the data 

bus or between the data memory (2, 3, 4, 5, 102, 103, 104, 105) and the data bus (106) can be coded and/or decoded. 
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(57) Zusammenfassung 

Die Erfindung betrifft cine elektronische Datenverarbeitungschaltung mit einer Bctriebsbaugnippe (l r 101) wie beispielswcise einem 
Mikroprozessor, mit wenigstens einem Datenspeicher (2, 3, 4, 5, 102, 103, 104, 105) und mit einem sich zwischen Datenspeicher (2, 
3, 4, 5, 102, 103 t 104, 105) und Betriebsbaugnippe (1, 101) erstreckendem Datenbus (106). Bei den gattungsgemaBen elektronischen 
Datenverarbeitungsschaltungen enthalt der Speicher h§ufig Informationen, auf die mOglichst nicht zugegriffen werden soli. Deshalb ist 
es notwendig, Sicherheitsmaflnahmen gegen Manipulationen der elektronischen Datenverarbeitungsschaltung zu treffen. Es ist daher 
Aufgabe der Erfindung, eine gattungsgemafie elektronische Datenverarbeitungsschaltung bereitzustellen, die einen verbesserten Schutz 
gegen unerwtinschte Veranderungen aufweist. Diese Aufgabe wird gemflS der Erfindung durch eine gattungsgemafie elektronische 
Datenverarbeitungsschaltung geldst, bei der im Bereich zwischen Datenspeicher (2, 3, 4, 5, 102, 103, 104, 105) und Datenbus und/oder im 
Bereich zwischen Betriebsbaugnippe (1, 101) und Datenbus wenigstens eine Verschlusselungsbaugruppe (20, 21, 22, 35, 107) vorgesehen 
ist, wobei die Verschlusselungsbaugruppe (20, 21, 22, 35, 107) so ausgebildet ist, daB Datenverkehr zwischen Betriebsbaugnippe (1, 101) 
und Datenbus bzw. zwischen Datenspeicher (2, 3, 4, 5, 102, 103, 104, 105) und Datenbus (106) verschlOsselbar und/oder entschlttsselbar 
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1 

Elektronische Datenverarbeitungsschaltung 
Beschreibung 

5 Die Erfindung betrifft eine elektronische Datenverarbeitungs- 
schaltung mit einer Betriebsbaugruppe wie beispielsweise 
einem Mikroprozessor , mit wenigstens einem Datenspeicher und 
mit einem sich zwischen Datenspeicher und Betriebsbaugruppe 
erstreckendem Datenbus . 

10 

Die gattungsgemafien elektronischen Datenverarbeitungs - 
schaltungen werden haufig bei sicherheitskritischen 
Anwendungen eingesetzt . Dabei werden im Datenspeicher 
vertrauliche Daten, Geldwerte und Zugangsberechtigungen 

15 abgelegt , -die -von--der Betriebsbaugruppe -beispielsweise auf 

eine externe Anforderung hin verarbeitet werden. 

Da der Speicher Inf ormationen enthalt, auf die moglichst 
nicht zugegriffen werden soil, ist es notwendig, Sicherheits- 
2 0 maSnahmen gegen Manipulationen der elektronischen Daten- 
verarbeitungsschaltung zu treffen. 

Wenn eine gattungsgemafie elektronische Datenverarbeitungs- 
schaltung als integrierter Schaltkreis ausgefuhrt ist f kann 

25 diese mit verschiedenen Passivierungsschichten abgedeckt 
werden. Dabei konnen die Passivierungsschichten -so angelegt 
sein, daS eine Entfernung einer Passivierungsschicht die 
Zerstorung des Datenspeichers zur Folge hat. Weiterhin kann 
man den Datenspeicher in tief erliegenden Schichten des 

30 integrierten Schaltkreises vergraben, so daS der Zugriff auf 
ihn erschwert wird. 

Eine weitere Moglichkeit, eine elektronische Daten- 
verarbeitungsschaltung gegen unerwunschte Manipulationen zu 
35 schutzen, besteht in der Verwendung von Sensoren, die 
Betriebsbedingungen der elektronischen Datenverarbeitungs- 
schaltung abtasten. Sobald ein von einem Sensor abgetasteter 
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Wert aufcerhalb eines normalen Wertes liegt, werden 
entsprechende SicherungsmaSnahmen ausgelost, die zu einer 
Inaktivierung der elektronischen Datenverarbeitungsschaltung 
Oder auch zu einem Loschen des Datenspeichers fuhren. 

Weiterhin gibt es auch Software -Sensoren, die den Betrieb der 
Betriebsbaugruppe auf verbotene Befehle hin Oder auf Zugriffe 
auf Adressbereiche hin uberwachen, die fur einen bestitnmungs- 
gemaSen Betrieb gesperrt sind. AuSerdem kann die Zugangs- 
sequenz auf ihre Richtigkeit hin uberwacht werden, 

Schliefilich ist es noch bekannt, in einem besonderen 
Herstellungsmodus erlaubte Speicherzugrif f e der 

Betriebsbaugruppe auf den Datenspeicher durch besondere 
Hardware -Vorrichtungen wie beispielsweise auf trennbar 
ausgestaltete Verbindungsbahnen einzuschranken. 

Trotz der bevorstehend ausgefuhrten SicherheitsmaSnahmen 
kommt es dennoch gelegentlich zu unerwunschten Manipulationen 
an den gattungsgemafien elektronischen Datenverarbeitungs- 
schaltungen . 

Es ist daher Aufgabe der Erfindung, eihe gattungsgemaSe 
elektronische Datenverarbeitungsschaltung bereitzustellen, 
die einen verbesserten Schutz gegen unerwunschte 
Veranderungen auf weist . 

Diese Aufgabe wird gemafi der Erfindung durch eine gattungs- 
gemaSe elektronische Datenverarbeitungsschaltung gelost, bei 
der weiterhin im Bereich zwischen Datenspeicher und Datenbus 
und/oder im Bereich zwischen Betriebsbaugruppe und Datenbus 
wenigstens eine Verschlusselungsbaugruppe vorgesehen ist # 
wobei die Verschlusselungsbaugruppe so ausgebildet ist, dafi 
Datenverkehr zwischen Betriebsbaugruppe und Datenbus bzw. 
zwischen Datenspeicher und Datenbus verschlusselbar und/oder 
entschliisselbar ist. 
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Die Erfindung beruht auf der erf indungswesentlichen 
Erkenntnis, dafi sich durch neue technische Verfahren die 
Manipulierbarkeit gerade von als integrierte Schaltkreise 
ausgefuhrte elektronische Datenverarbeitungsschaltungen 
5 erleichtert hat. So ist aus der Sicht eines Manipulierers 
eine elektronische Datenverarbeitungsschaltung in einem 
integrierten Schaltkreis nicht mehr nur als Chip in seiner 
Gesamtheit zu sehen, sondern als ein aus einzelnen 
Komponenten auf einem Siliziumtrager bestehendes System, bei 
10 dem auf die Komponenten separat zugegriffen werden kann. 

Demzufolge gibt es die Mdglichkeit, durch Beobachtung des 
Datenverkehrs auf dem Datenbus oder durch Auslesen des 
Datenspeichers Ruckschlusse auf die im Datenspeicher 
15 gespeicherten Inf ormationen zu Ziehen, so daS eine 
Manipulation erleichtert wird. 

Gemafi einer weiteren erf indungswesentlichen Erkenntnis lassen 
sich viele Manipulationen an den gattungsgemafien 
2 0 elektronischen Datenverarbeitungsschaltungen darauf zuruck- 
fuhren, dafi es gelungen ist, den Datenverkehr auf dem 
Datenbus "abzuhdren", so daS der Programmablauf in der 
Betriebsbaugruppe beobachtet und unerwunschterweise 
. verstanden werden kann. 

25 

Gemafi der Erfindung wird vorgeschlagen, die Daten in der 
elektronischen Datenverarbeitungsschaltung verschlusselt zu 
transportieren, wobei zwischen Datenbus und Datenspeicher 
bzw. Betriebsbaugruppe und Datenbus Einrichtungen vorgesehen 

30 sind, urn den auf dem Datenbus transportierten Datenverkehr zu 
verschltisseln und zu entschlusseln. Die derartigen 
Einrichtungen werden nachfolgend mit "Verschlusselungs- 
baugruppe" bezeichnet, wobei diese Bezeichnung ausdrucklich 
nicht auf Einrichtungen beschrankt ist, die lediglich eine 

35 Verschlusselung ausfuhren. Gemafi dem Grundgedanken der 
Erfindung sind mit dieser Bezeichnung auch Einrichtungen 
gemeint, die sowohl eine Verschlusselung als auch eine 
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Entschlusselung bzw. nur eine dieser fceiden Operationen 

ausfilhreii. 

Durch die erfindungsgemafce Ausgestaltung der elektronischen 
5 Datenverarbeitungsschaltung ist gewahrleistet , daS selbst bex 
einem erf olgreichen Nachverf olgen des Datenverkehrs auf dem 
Datenbus nicht direkt auf die im Datenspeicher gespeicherten 
Daten geschlossen werden kann. Weiterhin ist es nicht ohne 
weiteres moglich, aus den beim Nachverf olgen des 
10 Datenverkehrs auf dem Datenbus gewonnenen Inf ormatxonen auf 
den Programmablauf zuruckzuschliefcen. Selbst bei exnem 
erfolgreichen Auslesen der im Datenspeicher gespeicherten 
Daten kann namlich nicht ohne weiteres auf deren Bedeutung 
zuruckgeschlossen werden, da diese fur einen unbefangenen 
15 Beobachter keinen Sinn ergeben. 

Dabei ist es gemaS der Erfindung besonders vorteilhaft, da£ 
die Verschlusselung und Entschlusselung gemafc der Erfindung 
uber den gesamten Chip verteilt bzw. disloziert erfolgt, weil 
20 fur eine erfolgreiche Manipulation eine gleichzextxge 
Beobachtung von mehreren Stellen der elektronischen 
Datenverarbeitungsschaltung notwendig ware, was technxsch nur 
schwer durchzuf uhren ist. 

25 Dabei ist bei exnem mit Latch- Zwischenspeicher zur 
Zwischenspeicherung von Zugriffen auf den Datenspexcher 
versehenen elektronischen Datenverarbei tungsschal tungen 
wesentlich, daS die Verschlusselungsbaugruppe so angeordnet 
wird dafi der Inhalt des Latch- Zwischenspeichers stets 

30 verschlusselt ist. Der Inhalt der Latches kann namlich 
relativ leicht beobachtet werden, so daS deren Inhalt xm 
Betrieb der erf indungsgemafien Datenverarbeitungsschaltung 
sicherheitshalber verschlusselt vorliegen mufi. 



35 



Die verschlusselung und Entschlusselung kann sich gemaS der 
Erfindung bis in eine CPU einer erf indungsgemaGen 
Datenverarbeitungsschaltung hinein erstrecken. Daruber hinaus 
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kann die Verschlusselung und die Entschlusselung auch 
voneinander unabhangig in mehreren Verschlusselungsbaugruppen 
erfolgen. GemaS der Erfindung werden aber auch Losungen 
umfafit, bei der nur eine einzige Verschlusselungsbaugruppe 
5 vorgesehen ist . 

SchlieSlich ergibt sich noch ein Vorteil bei Daten- 
verarbeitungsschaltungen, die in einer Multitasking- 
Verarbeitung verschiedene Applikationen simultan verarbeiten. 
10 Dann konnen durch geeignete Verschlusselung verschiedenen 
Applikationen bzw. Tasks verschiedene Datenspeicher 
zugeordnet werden, wobei fur jede Task ein unterschiedlicher 
Schlussel vereinbart wird. Dadurch kann eine Task nicht auf 
Daten der anderen Task zugreifen. 

15 

Zusammenf assend iSSt sich daher ~f eststellen> -daS es gemafi der 
Erfindung nun nicht mehr genugt, die Datenverarbeitungs- 
schaltung nur physikalisch zu untersuchen. Zusatzlich muE nun 
insbesondere unter gleichzeitiger Beobachtung mehrerer 
20 Komponenten auch der in der Verschlusselungsbaugruppe bzw. in 
den Verschlusselungsbaugruppen gespeicherte Schlussel und 
gegebenenf alls die Aktivierung dieses Schlussels erkannt 
werden . 

25 In Ausbildung der Erfindung ist die Verschlusselungsbaugruppe 
so ausgebildet, dafi Datenverkehr auf dem Datenbus mittels 
eines Verschlusselungs-Algorithmus verschlusselbar 1st. Eine 
derartig ausgebildete Verschlusselungsbaugruppe bringt den 
Vorteil mit sich, bei einer Massenf ertigung besonders 

30 kostengunstig herstellbar zu sein. Jedoch dauert eine 
Verschlusselung mit einem Algorithmus sehr lang, da dadurch 
umf angreiche Berechnungen in der Betriebsbaugruppe notwendig 
werden. Ein Echtzeit-Betrieb dieser erf indungsgetnafien 
Datenverarbeitungsschaltung ist daher derzeit noch nicht 

35 moglich. 
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in weiterer Ausgestaltung der Erfindung ist dxe 
Verschlusselungsbaugruppe so ausgebildet, daS Datenverkehr 
auf dem Datenbus mittels Hardware-Verschlusselung 
verschlusselbar ist. Gerade bei Hardware-Verschlusselung xst 
ein Betrieb der erf indungsgemaSen Datenverarbeitungs- 
schaltungen in Echtzeit bereits auf sehr einfache Weise zu 
verwirklichen, und zwar sowohl bei Lese- als auch bex 
Schreibzugriff auf den Datenspeicher . 

Eine Hardware-Verschlusselung kann gemafc der Erfindung mit 
einer verschlusselungsbaugruppe erfolgen, die so ausgebxldet 
ist daS die Wertigkeiten einzelner Bit des Datenverkehrs 
selektiv anderbar ist. Dann erscheinen Bits, die im Spexcher 
beispielsweise als "LOW" abgelegt sind, im Datenverkehr auf 
dem Datenbus als "HIGH" . Dies kann zum Beispiel mxt exner 
Verschlusselungsbaugruppe erfolgen, die wenigstens exn EXOR- 
Glied aufweist. 

in weiterer Ausgestaltung der Erfindung kann die 
verschlusselungsbaugruppe so ausgebildet sein, daS dxe 
Anschlufireihenfolge von Datenleitungen des Datenbus selektxv 
anderbar ist. Dies auSert sich nach auSen hin so,, als ob 
einzelne Bitleitungen des Datenbus vertauscht waren. 

SchlieSlich kann die Hardware-Verschlusselung bei der 
erf indungsgemaSen Datenverarbeitungsschaltung auch durch exne 
Verschlusselungsbaugruppe ausgefuhrt werden, dxe so 
ausgebildet ist, dafi der Datenverkehr zwischen Datenbus und 
Betriebsbaugruppe und/oder zwischen Datenbus und Daten- 
speicher wenigstens teilweise selektiv verzogerbar xst. 
Dadurch wird auf dem Datenbus ein Datenverkehr vorgetauscht , 
der keinen Bezug zu dem momentanen Betriebszustand der 
erfindungsgemafien elektronischen Datenverarbeitungsschaltung 

hat . 

Dabei besteht ein wesentliches Merlcmal der erf indungsgemaSen 
Datenverarbeitungsschaltung darin, daS ie 
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Verschlusselungsbaugruppe so ausgebildet ist, daS die 
Verschlusselung selektiv arbeitet. Dies bedeutet nicht nur, 
dafi eine Verschlusselung wahlweise erfolgen oder unterbleiben 
kann. Daruber hinaus umfafit dies gemaS der Erfindung auch, 
dafi zwischen verschiedenen Schlusseln zum Verschlusseln des 
Datenverkehrs gewechselt werden kann. In diesem Fall bekonimt 
der Einsatz der erf indungsgemafien Verschlusselungsbaugruppe 
ein dynamisches Verhalten. 

Gerade bei der erf indungsgemaSen Datenverarbeitungsschaltung 
mit wechselnden Schlusseln ist vorgesehen, daS Daten- 
verarbeitungsschaltungen eines Fertigungsloses jeweils 
unterschiedliche und individuelle Schlussel bekommen . Dadurch 
ist gewahrleistet , daS selbst bei Kenntnis des Schlussels 
einer Datenverarbeitungsschaltung noch nicht auf die 
Schlussel anderer Datehvef arbei tungs s tuhgeri ~ geschlossen 
werden kann . 

In Ausgestaltung des Grundgedankens der Erfindung weist die 
Verschlusselungsbaugruppe wenigstens einen Eingang zur 
Eingabe wenigstens eines Schlussels auf. Dieser Eingang in 
die Verschlusselungsbaugruppe kann jedoch auch dazu verwendet 
werden, zwischen bestiramten, in der Verschlusselungsbaugruppe 
selbst gespeicherten Schlusseln und sogar zwischen den in der 
Verschlusselungsbaugruppe angewendeten Verschlusselungs- 
verfahren umzuschalten . Es ist auch ganz einfach moglich, ein 
einziges Verschlusselungsverf ahren zu aktivieren bzw. zu 
deaktivieren. Abweichend davon kann uber den Eingang auch ein 
aufierhalb der Verschlusselungsbaugruppe abgespeicherter 
Schlussel eingegeben werden. Dazu wird der Schlussel 
vorteilhaf terweise in einer FLASH- Zelle Oder in einer EEPROM- 
Zelle abgelegt. Die vorstehenden Zellen gelten als relativ 
sicher, weil die Inf ormationen auf einem Floating-Gate mit 
nur "wenigen" Elektronen gespeichert sind. Die meisten 
Versuche, deren Inhalt auszulesen, zerstoren die gespeicherte 
Information. Von daher ergibt sich gemaS dieser Ausgestaltung 
der Erfindung eine besonders sichere Verschlusselung des 
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Datenverkehrs . Weiterhin haben alle FLASH- Zellen den Vorteil 
der Programmierbarkeit . So konnen auf einfache Weise bei der 
Auslieferung der erf indungsgemaSen Datenverarbeitungs- 
schaltung in jede Schaltung individuelle Schlussel 
5 einprogrammiert und fur weitere Ver&nderungen gesperrt 
we r den . 

Eine weitere Verbesserung der Sicherheit ergibt sich dann, 
wenn der Schlussel in einer vergrabenen Struktur eines 

10 integrierten Bausteins abgelegt ist, wobei der integrierte 
Baustein vorteilhaf terweise auch die Datenverarbeitungs- 
schaltung auf nimmt . Vergrabene Strukturen bieten den Vorteil, 
dafi sie dezentral an verschiedenen Stellen des integrierten 
Bausteins ausgefiihrt werden konnen. Dies erhoht die 

15 Sicherheit betrachtlich, da es sehr schwierig ist, 
verschiedene Stellen einer in einen integrierten Baustein 
aufgenoiranenen Datenverarbeitungsschaltung gleichzeitig zu 
beobachten. Daruber hinaus konnen auch Sensoren vorgesehen 
sein, die Manipulationen des Orts, an dem der Schlussel 

20 abgelegt ist, abtasten und die erf indungsgeniafie 
Datenverarbeitungsschaltung fur diesen Fall deaktivieren oder 
sonstwie unbrauchbar machen. 

Alternativ zu den bei der Herstellung der erf indungsgemaSen 
25 Datenverarbeitungsschaltung abgespeicherten Schlusseln kann 
jedoch auch ein Zuf allsgenerator vorgesehen sein, mit dem ein 
Schlussel zufallig auswahlbar ist. 

GemaS einer besonders vorteilhaf ten Ausgestaltung der 
30 Erfindung wird die Auswahl des in der 

Verschlusselungsbaugruppe verwendeten Schlussels von der 
Betriebsbaugruppe insbesondere wahrend des Progratnmablauf s 
durchgef uhrt . Dazu ist die Datenverarbeitungsschaltung gem&S 
der Erfindung so ausgebildet, dafi bei Ausfuhrung 
35 vorbestimmter Operationen durch die Betriebsbaugruppe ein 
Schlussel an die Verschlusselungsbaugruppe eingebbar ist. Da 
der Programmcode der Betriebsbaugruppe eventuell bekannt sein 
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kann, erf olgt die Schlusselauswahl vorteilhaf terweise 
versteckt im normalen Programmcode . So konnte die 
Betriebsbaugruppe beispielsweise derart ausgebildet sein, dafi 
bei Ausfuhren eines unverf anglichen Befehls wie 
beispielsweise CLR C ("CLEAR CARRY") der Schlussel der 
Verschlusselungs-baugruppe bzw. Verschlusselungsbaugruppen 
gewechselt wird. 

Daruber hinaus kann auch eine Zeitmessvorrichtung vorgesehen 
sein, die einen Wechsel des Schlussels uberwacht, und einen 
solchen Wechsel auslost, wenn der Schlussel nicht oft genug 
gewechselt wird. 

SchlieSlich ist hinsichtlich der in den 

Verschlusselungsbaugruppen verwendeten Schlussel vorgesehen , 
daS die Schlussel durclf' die Betriebsbaugruppe "bzw; die CPU 
erzeugt werden. Dies erf olgt beispielsweise durch Ableiten 
eines Schlussels mit einem Umsetzungsverf ahren aus einer 
durch die CPU generierten Adresse. Der Vorteil dieses 
Verfahrens besteht darin, dafi sich der Schlussel standig - 
also mit jeder Adresse - andert. Durch die Auswahl 
verschiedener Umsetzungsverf ahren kann der Programmierer der 
Betriebsbaugruppe auf die Verschlusselung EinfluS nehmen. 

Zusammenfassend ist zu sagen, dafi der Datenverkehr in der 
erf indungsgemaSen Datenverarbeituhgsschaltuhg von einem 
Manipulierer nur dann verstanden werden kann, wenn der 
jeweils in der Verschlvisselungsbaugruppe verwendete Schlussel 
bekannt ist. Auch die im Datenspeicher abgelegten Daten 
konnen nur unter Kenntnis des zum Datenspeicher zugehorigen 
Schlussels verstanden werden. Dies erhoht die Sicherheit 
gegen Manipulationen betrSchtlich. 

Selbstverstandlich muS ein Programmierer, der die Betriebs- 
baugruppe der Datenverarbeitungsschaltung programmiert , eine 
vertrauliche Liste fuhren, welche zum Schlussel zugehorigen 
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Daten er in welchen Adressen des Datenspeichers bzw. der 
Datenverarbeitungsschaltung abgelegt hat, Je nach Art des 
Schlussels kann der Prograramierer auch gewisse zu erfullende 
Vorbedingungen vorsehen, die sich beispielsweise dadurch 
aufiern, dafi iTnmer Werte-Paare gelesen werden mussen. 

In einer besonders vorteilhaf ten Ausgestaltung der 
elektronischen Datenverarbeitungsschaltung sind im Bereich 
mindestens einer die Betriebsbaugruppe und wenigstens einen 
Datenspeicher verbindenden Datenleitung des Datenbus 
wenigstens zwei Verschlusselungsbaugruppen vorgesehen, die so 
ausgebildet sind, dafi eine vollstandige Verschlusselung bzw. 
Entschliisselung erst durch das Zusammenwirken der beiden 
Verschlusselungsbaugruppen ausfuhrbar ist . Vorteilhaf terweise 
sind die beiden Verschlusselungsbaugruppen dabei an 
verschiedenen Orten der elektronischen Datenverarbeitungs- 
schaltung angeordnet. Durch diese Ausgestaltung ist gewahr- 
leistet, daS eine Verschlusselung des Datenverkehrs an zwei 
verschiedenen Orten erf olgt . Bin typischer Manipulierer wird 
moglicherweise nur eine Verschlusselung an einem einzigen 
Ort, namlich bei einer einzigen Verschlusselungsbaugruppe 
nachvoll Ziehen und beim Anwenden der Verschlusselung trotzdem 
zu keinem brauchbaren Ergebnis kommen. Gerade bei einer 
Ausfiihrung mit zwei Verschlusselungsbaugruppen, die an 
verschiedenen Orten untergebracht sind, ist es namlich 
besonders schwierig, eine Verschlusselung nachzuvollziehen, 
da zwei vers chiedene Orte einer Mikrostruktur nur auf 
besonders schwierige Weise gleichzeitig beobachtet werden 
konnen. Die so ausgefuhrten Verschlusselungsbaugruppen konnen 
beispielsweise dergestalt ausgefiihrt sein, daE eine 
Verschlusselungsbaugruppe an einem Ort die unteren vier Bits 
eines Datenbus verschlusselt bzw. entschlusselt , wahrend die 
andere Verschlusselungsbaugruppe die ubrigen. Bits des 
Datenbus verschlusselt bzw. entschlusselt. 

Ein weiterer Vorteil des erf indungsgemafien Verfahrens ergibt 
sich bei denjenigen gattungsgemafien Datenverarbeitungs- 
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schaltungen, bei denen man aus Sicherheitsgrunden erreichen 
mochte, daS nicht alle Komponenten der Datenverarbeitungs- 
schaltung miteinander kommunizieren konnen. Dann kann durch 
geeignete Ausgestaltung des Schlussels beispielsweise mit 
einer definierten Anzahl von Verschlusselungs-Einheiten nur 
bei den dafur vorgesehenen Verbindungswegen des Datenbus 
kommuniziert werden. Alle anderen Verbindungen mit nicht 
geeigneten Verschlusselungen konnen nicht richtig 
f unktionieren . 

Die Erfindung ist in der Zeichnung anhand zweier einfacher 
sowie eines komplexeren Ausfuhrungsbeispiels in drei Figuren 
naher veranschaulicht . Es zeigen: 

zeigt eine erf indungsgemafie elektronische 
Datenvera mit nur einer ; einzigen 

Verschlusselungseinrichtung in der CPU, 

zeigt eine Variante der elektronischen 
Datenverarbeitungsschaltung aus Figur 1, und 

zeigt eine weitere erf indungsgemafie elektronische 
Datenverarbeitungsschaltung mit Verschlusselungs- 
einrichtungen in der CPU sowie im Bereich der 
Datenspeicher * 

Figur i zeigt eine erf indungsgemafie Datenverarbeitungs- 
schaltung, die eine CPU 101 als Betriebsbaugruppe sowie 
mehrere Datenspeicher aufweist. Im Einzelnen sind dies ein 
ROM 102, ein EE PROM 103, ein FLASH -Speicher 104 sowie ein RAM 
105. Die Datenspeicher 102, 103, 104, 105 und die CPU 101 
sind uber einen Datenbus 106 miteinander verbunden. 

In der CPU 101 ist eine Verschlusselungsbaugruppe 107 
vorgesehen, die den Datenverkehr zwischen CPU 1 und den 
Datenspeichern 102, 103 , 104 sowie 105 verschlusselt bzw. 
entschlusselt . Hier sei noch einmal darauf hingewiesen, dafi 



Figur 1 



Figur 2 



Figur 3 
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die derartige Einrichtung nachfolgend mit 

"Verschlusselungsbaugruppe" bezeichnet wird, obwohl sie 
ausdrucklich nicht auf eine Einrichtung beschrankt ist, die 
lediglich eine Verschlusselung ausf uhrt . GemaS dem 
Grundgedanken der Erfindung ist mit dieser Bezeichnung auch 
eine Einrichtung gemeint, die sowohl eine Verschlusselung als 
auch eine Entschlusselung bzw. nur eine dieser beiden 
Operationen ausfxihrt. Die Ver- bzw. Entschlusselung kann 
dabei durch eine geeignete Verzogerung, durch ein Vertauschen 
von einzelnen Bitleitungen des Datenbus oder durch ein 
Verandern der Wertigkeiten einzelner Datenbits erfolgen. Auch 
eine Sof tware -Verschlusselung kann ausgefuhrt werden. 

Weiterhin hat die erf indungsgemafie Datenverarbeitungs- 
schaltung einen Multiplexer 108, der uber eine Datenleitung 
109 mit dem FLASH- Speicher 104 in Verbindung steht . Der 
Multiplexer 108 . steht uber eine Datenleitung 110 mit einem 
Timer 111 in Verbindung, dem uber eine Datenleitung 112 von 
einem Zuf allsgenerator 113 eine Zufallszahl zufuhrbar ist. 
Der Multiplexer 108 weist auch eine Ansteuerleitung 114 auf, 
uber die er mit dem ROM 102 in Verbindung steht. SchlieElich 
ist noch eine RESET- Leitung 115 zum Multiplexer 108 
vorgesehen, uber die der Multiplexer 108 bei einem Reset* der 
Datenverarbeitungsschaltung auf einen Grundzustand 

rucksetzbar ist. Der Ausgang des Multiplexers 108 steht uber 
eine Ansteuerleitung 116 mit der Verschlusselungsbaugruppe 
107 in Verbindung, wobei die Verschlusselungsbaugruppe 107 
auf ein Ausgangs signal des Multiplexers 108 hin mit einem 
neuen Schlussel versorgt wird. Erf indungsgemaS ist auch 
vorgesehen, daS in der Verschlusselungsbaugruppe 107 auf ein 
Ausgangs signal des Multiplexers 108 uber die Ansteuerleitung 
116 hin das in der Verschlusselungsbaugruppe 107 verwendete 
Verschlusselungsverf ahren umgeschaltet wird. 

Im Betrieb verhalt sich die erf indungsgemafie elektronische 
Datenverarbeitungsschaltung wie f olgt . Beim Programmstart 
(RESET) wird auf ein Signal auf der RESET-Leitung 115 im 
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Multiplexer ein Start -Schlussel eingestellt. Daraufhin wird 
der Datenverkehr zwischen Datenbus 106 und CPU 101 in der 
Verschlusselungsbaugruppe 107 verschlusselt bzw. 

entschlusselt , wobei bei jedem Durchgang von Daten durch die 
Verschlusselungsbaugruppe 107 eine entsprechende Operation 
entsprechend der Datenf luErichtung ausgefuhrt wird. Bei jeder 
Ausfuhrung des Befehls "CLR C n ubermittelt das ROM 102 uber 
die Ansteuerleitung 114 einen Ansteuerimpuls an den 
Multiplexer 108. Der Multiplexer 108 holt daraufhin uber die 
Datenleitung 109 einen der drei Schussel KEY 3, KEY 2, KEY 1 
aus dem FLASH- Speicher 104 und ubermittelt diesen an die 
Verschlusselungsbaugruppe 107. Daraufhin wird entweder der in 
der Verschlusselungsbaugruppe 107 verwendete Schlussel 
ausgetauscht oder je nach Wertigkeit des auf der 
Ansteuerleitung 116 . anliegenden Signals eine Umschaltung 
zwischen einem in der Ver s chilis s eiungsbaug^ppe 1 07 
angewendeten Vers chlu s s e lungs ver f ahren bewirkt . Wird eine 
bestimmte Betriebszeit der Datenverarbeitungsschaltung 
uberschritten, ohne daS der Multiplexer 108 durch das ROM 102 
aktiviert wird, tritt der Timer I'll in Aktion. Durch die 
Betatigung des Timers 111 wird dem Multiplexer 10 8 liber die 
Datenleitung 110 eine Zufallszahl aus dem Zuf allsgenerator 
113 ubermittelt. Der Multiplexer 108 ubermittelt dann die 
Zufallszahl an die Verschlusselungsbaugruppe 107 . 

Die Daten in den Datenspeichern 102, 103, 104 und 105 sind 
verschlusselt abgelegt. Daher werden die Daten auf dem 
Datenbus 106 verschlusselt zur CPU 101 transportiert , wo sie 
von der Verschlusselungsbaugruppe 107 wieder entschlusselt 
werden. Erst danach stehen die > Daten unverschlusselt zur 
Verarbeitung in der CPU bereit. 

Figur 2 zeigt eine Variant e der Datenverarbeitungsschaltung 
aus Figur 1, die ebenfalls eine CPU 101 als Betriebsbaugruppe 
sowie mehrere Datenspeicher auf weist . Im Einzelnen sind dies 
ein ROM 102, ein EE PROM 103, ein FLASH- Speicher 104 sowie ein 



OD1CQ01A1 I - 



WO 98/16883 



14 



PCT/DE97/02070 



RAM 105. Die Datenspeicher 102, 103, 104, 105 und die CPU 101 
sind uber einen Datenbus 106 miteinander verbunden. 

In der CPU .101 ist eine Verschlusselungsbaugruppe 107 
vorgesehen, die den Datenverkehr zwischen CPU 1 und den 
Datenspeichern 102, 103, 104 sowie 105 verschlusselt bzw. 
entschliisselt. 

Die Datenverarbeitungsschaltung aus Figur 2 hat im Gegensatz 
zu derjenigen aus Figur 1 keinen Multiplexer zur Versorgung 
der Verschlusselungsbaugruppe 107 mit einem neuen Schlussel. 
Statt dessen ist die Datenverarbeitungsschaltung aus Figur 2 
uber eine Ansteuerleitung 122 mit einer Umsetzungsbaugruppe 
120 verbunden, die ihrerseits mit einem Adressbus 121 der CPU 
101 in Verbindung steht . Zu der Umsetzungsbaugruppe 120 fuhrt 
eine weitere Ansteuerleitung 123, mit der eine bestimmte 
Umsetzung aus einer Auswahl verschiedener in der 
Umsetzungsbaugruppe 12 0 gespeicherter Umsetzungen von 
"Adresse 11 auf "Schlussel" auswahlbar ist. Durch die 
Umsetzungsbaugruppe 120 wird dadurch ein Schlussel aus einer 
in der CPU 101 anliegenden Adresse abgeleitet. 

Im Betrieb verhalt sich die elektronische 

Datenverarbeitungsschaltung aus Figur 2 im wesent lichen wie 
diejenige aus Figur 1. Beim Programmstart (RESET) wird auf 
ein Signal auf der Ansteuerleitung 123 ein Start -Schlussel in 
der Verschlusselungsbaugruppe 107 eingestellt . Daraufhin wird 
jeglicher Datenverkehr zwischen Datenbus 106 und CPU 101 in 
der Verschlusselungsbaugruppe 107 verschlusselt bzw. 
entschliisselt, wobei bei jedem Durchgang von Daten durch die 
Verschlusselungsbaugruppe 107 eine entsprechende Operation 
entsprechend der Datenf luSrichtung ausgefuhrt wird. Bei jeder 
Aktivierung der Ansteuerleitung 123 leitet die 
Umsetzungsbaugruppe 120 auf der Basis einer neuen Umsetzung 
einen Schlussel aus einer in der CPU 101 anliegenden Adresse 
ab. 
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Die Daten in den Datenspeichern 102, 103, 104 und 105 sind 
stets verschlusselt abgelegt. Daher werden die Daten auf dem 
Datenbus 106 verschlusselt zur CPU 101 transport iert, wo sie 
von der Verschlusselungsbaugruppe 107 wieder entschlvisselt 
werden. Erst danach stehen die Daten unverschlusselt zur 
Verarbeitung in der CPU bereit. 

Die erf indungsgemafie Datenverarbeitungsschaltung aus Figur 3 
hat eine CPU 1 als Betriebsbaugruppe sowie mehrere 
Datenspeicher . Im Einzelnen sind dies ein ROM 2, ein EE PROM 
3, ein FLASH -Speicher 4 sowie ein RAM 5. Die Datenspeicher 2, 
3, 4, 5 und die CPU 1 sind uber einen in dieser Ansicht nicht 
dargestellten Datenbus miteinander verbunden. Anstelle des 
Datenbus sind in dieser Ansicht einzelne Datenleitungen 6, 7, 
8, 9, 10, 11, 12, 13,. 14 und 15 vorgesehen, uber die die CPU 
1 Daten mit den Datenspeichern 2, 3, '" 4, 5" austauscht. 
Zwischen der CPU 1 und dem ROM 2, dem EEPROM 3, dem FLASH 4 
und dem RAM 5 ist noch je ein Latch-Zwischenspeicher 16 , 17, 
18, 19 angeordnet. 

Im Bereich zwischen dem ROM 2 und dem Latch 16, im Bereich 
zwischen dem Latch 17 und der CPU 1, im Bereich zwischen den 
Latches 18, 19 und der CPU 1 sowie in der CPU 1 selbst sind 
Verschlusselungsbaugruppen 20, 21, 22 und 35 vorgesehen, die 
den Datenverkehr auf den ihnen zugeordneten Datenleitungen 
verschlusseln bzw. entschlusseln . Hier sei noch einmal darauf 
hingewiesen, dafi die derartigen Einrichtungen nachfolgehd mit 
"Verschlusselungsbaugruppe" bezeichnet werden, obwohl sie 
ausdrucklich nicht auf Einrichtungen beschrankt sind, die 
lediglich eine Verschlusselung ausftihren. GemaS dem 
Grundgedanken der Erfindung sind mit dieser Bezeichnung auch 
Einrichtungen gemeint, die sowohl eine Verschlusselung als 
auch eine Entschlusselung bzw. nur eine dieser beiden 
Operationen ausfuhren. Die Ver- bzw. Entschlusselung kann 
dabei durch eine geeignete Verzogerung, durch ein Vertauschen 
von einzelnen Bitleitungen der Datenleitungen oder durch ein 
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Verandem der Wertigkeit einzelner Datenbits erf ol gen. Auch 
eine Software -Verschlus selling kann ausgefuhrt werden. 

Die Verschlusselungsbaugruppen 20 , 21, 22 und 35 sind so 
ausgebildet, dafi der Datenverkehr auf den ihnen zugeordneten 
Datenleitungen jeweils nur teilweise verschlusselt bzw. 
entschliisselt wird. Eine vollstandige Verschlusselung bzw. 
Ents chilis selung ergibt sich erst bei einem Zusammenwirken je 
einer der Verschlusselungsbaugruppen 20, 21 # 22 mit der 
Verschliisselungsbaugruppe 35. 

Weiterhin hat die erf indungsgemaSe Datenverarbeitungs- 
schaltung einen Multiplexer 23, der uber eine Datenleitung 24 
mit dem FLASH- Speicher 4 in Verbindung steht. Der Multiplexer 
23 steht uber eine Datenleitung 25 mit einem Timer 26 in 
Verbindung, dem uber eine Datenleitung 27 von einem Zufalls- 
zahlgenerator 28 eine Zufallszahl zufuhrbar ist. Der 
Multiplexer 23 weist auch eine Ansteuerleitung 29 auf, uber 
die er mit dem ROM 2 in Verbindung steht. 

Der Ausgang des Multiplexers 23 steht uber Ansteuerleitungen 
30, 31, 32, 33, 34 mit den Verschlusselungsbaugruppen 20, 21, 
22, 35 in Verbindung, wobei die Verschlusselungsbaugruppen 
20, 21, 22, 35 auf ein Ausgangssignal des Multiplexers 23 hin 
mit einem neuen Schlussel versorgt werden. 

Im Betrieb verhalt sich die erf indungsgemaSe elektronische 
Datenverarbeitungsschaltung wie folgt. Bei jeder Ausfuhrung 
des Befehls "CLR C" ubermittelt das ROM 2 uber die Ansteuer- 
leitung 29 einen Ansteuerimpuls an den Multiplexer 23 . Der 
Multiplexer 23 holt daraufhin uber die Datenleitung 24 einen 
der drei Schlussel KEY 3, KEY 2, KEY 1 aus dem FLASH-Speicher 
4 und ubermittelt diesen an die Verschlusselungsbaugruppen 
20, 21, 22 und 35. Wird eine vorbestimmte Betriebszeit der 
Datenverarbeitungsschaltung uberschritten, ohne daS der 
Multiplexer 2 3 durch das ROM 2 aktiviert wird, dann tritt der 
Timer 26 in Aktion. Durch die Betatigung des Timers 26 wird 
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dem Multiplexer 23 uber die Datenleitung 25 eine Zufallszahl 
aus dem Zuf allsgenerator 28 ubermittelt. Der Multiplexer 23 
ubermittelt dann die Zufallszahl an die Verschlusselungs-* 
baugruppen 20, 21, 22, 35. 

Die Daten im ROM 2 sind verschlusselt abgelegt und sie werden 
beim Auslesen in den Latch 16 durch die Verschlusselungs - 
vorrichtung 20 nur teilweise entschlusselt. Daher werden die 
Daten aus dem ROM 2 auf der Datenleitung 8 noch teilweise 
verschlusselt bis zur CPU 1 transportiert , wo sie von der 
Verschlusselungsbaugruppe 35 vollstandig entschlusselt 
werden. Erst danach stehen die Daten unverschlusselt zur 
Verarbeitung in der CPU 1 bereit. 

Die verschlusselt im EE PROM 3 vorgesehenen Daten werden 
verschlusselt uber die Datenleitung 9 an den Latch 17 uber- 
mittelt und von dort an die Verschlusselungsbaugruppe 21 
weitergeleitet , wo sie teilweise entschlusselt werden. Von 
dort gelangen die noch teilweise verschlusselten Daten uber 
die Datenleitung 11 zur CPU 1, wo sie von der 
Verschlusselungsbaugruppe 35 vollstandig entschlusselt werden 
und danach zur Verarbeitung bereitstehen. 

Daten fur den FLASH- Speicher 4 und fur das RAM 5 werden 
zunachst jeweils teilweise durch die Verschlusselungs- 
baugruppe 35 und durch die Verschlusselungsbaugruppe 22 
verschlusselt, bevor sie vollstandig verschlusselt iiri FLASH- 
Speicher 4 oder im RAM 5 abgespeichert werden. Dazu werden 
die in der Verschlusselungsbaugruppe 35 der CPU 1 teilweise 
verschlusselten Daten uber die Datenleitung 11 an die 
Verschlusselungsbaugruppe 22 ubermittelt, wo sie vollstandig 
verschlusselt werden, bevor sie uber die Datenleitungen 13 
bzw. 14 an die dem FLASH- Speicher 4 und dem RAM 5 
zugeordneten Latches 18, 19 ubergeben werden. Von den Latches 
18, 19 gelangen die verschlusselten Daten uber Datenleitungen 
12, 15 zum FLASH- Speicher 4 bzw. RAM 5. 
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Beim Auslesen der Daten aus dem FLASH- Speicher 4 und aus dem 
RAM 5 werden diese zunachst jeweils teilweise durch die 
Verschlusselungsbaugruppe 22 und durch die" 

Verschlusselungsbaugruppe 35 entschlusselt , bevor sie voll- 
standig entschlusselt in der CPU 1 zur Verarbeitung bereit- 
stehen. 
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Elektronische Datenverarbeitungsschaltung 
Patentanspruche 

1. Elektronische Datenverarbeitungsschaltung mit einer 
Betriebsbaugruppe wie einem Mikroprozessor , mit wenigstens 
einem Datenspeicher und mit einem sich zwischen Datenspeicher 
und Betriebsbaugruppe erstreckendem Datenbus, dadurch 
gekennzeichnet, daS im Bereich zwischen Datenspeicher (2, 3, 
4, 5, 102, 103, 104, 105) und Datenbus (106) und/oder im 
Bereich zwischen Betriebsbaugruppe (1, 101) und Datenbus 
(106) wenigstens eine Verschlusselungsbaugruppe (20, 21, 22, 
35, 107) vorgesehen ist, wobei die Verschlusselungsbaugruppe 
(20, 21, .22, 35, 107) so ausgebildet ist, daE Datenverkehr 
zwischen Betriebsbaugruppe (1, 101) und Datenbus (106) bzw. 
zwischen Datenspeicher (2, 3, 4, 5, 102, 103, 104, 105) und 
Datenbus (106) verschlusselbar und/oder entschlusselbar ist. 

2. Elektronische Datenverarbeitungsschaltung nach Anspruch 1, 
dadurchgekennzeichnet , daS die Verschlusselungsbaugruppe (20, 
21, 22, 35, 107) so ausgebildet ist, daS der Datenverkehr 
mittels eines Verschlusselungs-Algorithmus verschlusselbar 
ist. 

3 . Elektronische Datenverarbeitungsschaltung nach Anspruch 1 
oder Anspruch 2, dadurch gekennzeichnet, daS die 
Verschlusselungsbaugruppe (20, 21, 22, 35, 107) so 
ausgebildet ist, dafi der Datenverkehr mittels Hardware- 
Verschlusselung verschlusselbar ist. 

4. Elektronische Datenverarbeitungsschaltung nach Anspruch 3, 
dadurch gekennzeichnet, daS die Verschlusselungsbaugruppe 
(20, 21, 22, 35, 107) so ausgebildet ist, daS die Wertigkeit 
einzelner Bits des Datenverkehrs selektiv anderbar ist. 
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5. Elektronische Datenverarbeitungsschaltung nach Anspruch 4, 
dadurch gekennzeichnet , dafi die Verschlusselungsbaugruppe 
wenigstens ein EXOR-Glied aufweist. 

6. Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 3 bis 5, dadurch gekennzeichnet, daS die 
Verschlusselungsbaugruppe (20, 21, 22, 35, 107) so 
ausgebildet ist, daS die AnschluSreihenf olge von 
Datenleitungen des Datenbus selektiv anderbar ist. 

7. Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 3 bis 6, dadurch gekennzeichnet, daS die 
Verschlusselungsbaugruppe (20, 21, 22, 35, 107) so 
ausgebildet ist, dafi der Datenverkehr wenigstens teilweise 
selektiv verzogerbar ist . 

8 . Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 3 bis 7, dadurch gekennzeichnet, daS die 
Verschlusselungsbaugruppe (20, 21, 22, 35, 107) wenigstens 
einen Eingang zur Eingabe wenigstens eines Schlussels 
aufweist. 

9. Elektronische Datenverarbeitungsschaltung nach Anspruch 8, 
dadurch gekennzeichnet, dafi der bzw. die Schlussel in einer 
Flash- Zelle der Datenverarbeitungsschaltung abgelegt ist bzw. 
sind . 

10. Elektronische Datenverarbeitungsschaltung nach Anspruch 8 
oder 9, dadurch gekennzeichnet, daS der Schlussel in einer 
vergrabenen Struktur eines integrierten Bausteins zur 
Aufnahme der Datenverarbeitungsschaltung abgelegt ist. 

11. Elektronische Datenverarbeitungsschaltung nach Anspruch 8 
oder 9, dadurch gekennzeichnet, daS eine Sensorik zum 
Abtasten von Manipulationen des Orts, an dem der Schlussel 
abgelegt ist, aufweist. 
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12 . Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 8 bis 11, dadurch gekennzeichnet , da£ die 
Datenverarbeitungsschaltung so ausgebildet ist, dafi bei* 
Ausfuhrung vorbestitnmter Operationen durch die 
Betriebsbaugruppe ein Schlussel in die 
Verschlusselungsbaugruppe (20, 21, 22, 35, 107) eingebbar 
ist. 

13 . Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 8 bis 12, dadurch gekennzeichnet, daS ein 
Zuf allsgenerator (28) vorgesehen ist, mit dem ein Schlussel 
zufallig auswahlbar ist. 

14 . Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 8 bis 12, . dadurch gekennzeichnet, dafi eine 
Einrichtung (120) zum Ableiten eines Schlussels axis eiher in 
der Betriebsbaugruppe (101) verwendeten Adresse vorgesehen 
ist. 

15. Elektronische Datenverarbeitungsschaltung nach einem der 
Anspruche 8 bis 13, dadurch gekennzeichnet, dafi eine 
Zeitmessvorrichtung (26.) vorgesehen ist, durch die ein 
Wechsel des Schlussels einleitbar ist. 

16. Elektronische Datenverarbeitungsschaltung nach einem der 
vorhergehenden Anspruche, dadurch gekennzeichnet, dafi im 
Bereich mindestens einer die Betriebsbaugruppe (1) und 
wenigstens einen Datenspeicher (2, 3, 4, 5) verbindenden 
Datenleitung (7, 8, 34, 11) des Datenbus wenigstens zwei 
Verschlusselungsbaugruppen (18, 19, 20, 21, 35) vorgesehen 
sind, wobei die Verschlusselungsbaugruppen (18, 19, 20, 21, 
35) so ausgebildet sind, dafi eine vollstandige 
Verschlusselung bzw. Entschlusselung durch das Zusammenwirken 
der Verschlusselungsbaugruppen (18, 19, 20, 21, 35) 
ausfiihrbar ist. 
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17 . Elektronische Datenverarbeitungsschaltung nach Anspruch 
16, dadurch gekennzeichnet , daS die Verschlusselungs- 
baugruppen (18, 19, 20, 21, 35) an verschiedenen Orten der 
elektronischen Datenverarbeitungsschaltung angeordnet sind. 
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